Internet & Webdienste

31.10.2005 21:20

Gravierende Sicherheitslücken in PHP-Sprache

Internet & Webdienste Stefan Esser hat in diesen Tagen mehrere gravierende Sicherheitslücken in der Scriptsprache PHP entdeckt. Durch einen Dateiupload könne ein Cracker beliebigen PHP-Code auf dem entsprechenden System ausführen und so böswillige Vorgänge ungehindert vollziehen.

Hervorgerufen kann dies durch Seiten, die auf der PHP-Funktionsbibliothek PEAR oder der Boardsoftware vBulletin basieren. Weitere Sicherheitslücken könnten unter Umständen dazu führen, HTML-Code einzuschleusen, der das Auslesen von Domain-Cookies veranlassen könnte. Allerdings wird die dafür zuständige Funktion in aller Regel nur in Testumgebungen eingesetzt.

Die dritte Schwachstelle wird ebenfalls als eher unkritisch gesehen und könnte gegebenfalls den PHP-Kern in einen Ausgangszustand versetzen. Betroffen sind ausnahmslos alle Versionen der Sprache. Nutzern von PHP4 wird empfohlen, auf die neue, nicht anfällige Version 4.4.1 umzusteigen. Für PHP5 steht momentan noch kein Update bereit.

Nähere Informationen: Mehrere Sicherheitslücken in PHP

Valentin Hauner

Diese Nachricht empfehlen:
Diese Nachricht verlinken:
 
[o1] Berndie6 am 31.10.05 21:13 Uhr
 
Na Super, als wenn wir nicht schon genügend Sicherheitslücken hätten. Trotzdem gut, das sie einer findet und veröffentlicht!
 
[o2] Rika am 31.10.05 21:14 Uhr
(-1
Die Lücke in phpinfo() ist mittlerweile drei Jahre alt.
 
[o3] yagee am 31.10.05 22:16 Uhr
(+1
"Betroffen sind ausnahmslos alle Versionen der Sprache" und "wird empfohlen auf die ... nicht anfällige Version 4.4.1 umzusteigen" Das sind zwei Aussagen in aufeinanderfolgenden Sätzen, die nicht beide zur gleichen Zeit wahr sein können. Und wo ich gerade beim Haarspalten bin. Eine Sprache kann nicht "sicher" sein, zumindest kenne ich keine Definition einer "sicheren Sprache". Vielleicht bastelt ihr den Artikel diesbezüglich um und sagt einfach allgem. "PHP" dazu, dann ist es Wurst, ob ihr die (Script-)Sprache meint, oder den Interpreter, z.B. in Version 4.4.1.
 
[re:1] Hauner am 01.11.05 09:36 Uhr
 
@yagee: Du hast anscheinend das "neue (!), nicht anfällige" übersehen. Betroffen sind alle Versionen. Nur die Version, die nach dem Entdecken der Lücken herausgegeben wurde, ist nicht anfällig. Und davon, dass PHP "sicher" oder Ähnliches ist, war in dieser News nie die Rede.
Bearbeitet am 01.11.05 um 09:36 Uhr.
 
[re:2] ReensKe am 01.11.05 13:09 Uhr
 
@Hauner: Ich glaube er meinte eher, dass die Sätze "Betroffen sind ausnahmslos alle Versionen der Sprache" und "wird empfohlen auf die ... nicht anfällige Version 4.4.1 umzusteigen" sich widersprechen und das tun sie auch.


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Beliebte Downloads

Weitere Downloads

Neue Nachrichten

Mehr Nachrichten

Beliebte Nachrichten

Videos

  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.
WinFuture.mobi

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Meist kommentierte Nachrichten

Community

  • Neue Kommentare
  • Neue Mitglieder

WinFuture wird gehostet von Artfiles

Artfiles.de

Forum

Zum WinFuture Forum

MSDN Online

News rund ums Web

Kostenlose HTML5-Webcamps gehen in neue Runde 11.01.2012
HTML5 ? die Serie: Alles über Web-Standards 22.12.2011
Internet Explorer 10: vierte Platform-Preview verfügbar 02.12.2011
Mitmachen & mitgewinnen: der Windows Phone Adventskalender 01.12.2011
Microsoft Schweiz: Präsentationen von den "TechDays 2011" 27.10.2011
Zum Nulltarif: WebCamps rund um HTML5, WebMatrix & Co. 07.10.2011
Build Dir Deine Meinung: Alle Videos von der Microsoft-Konferenz 21.09.2011
MSDN Hotline: "Pinned Sites" im Fokus 19.09.2011
Copyright 2012 & powered by MSDN Online
MSDN News auch auf ihrer Website? - Hier klicken!